Integre o gateway NAT com o Azure Firewall numa rede em topologia hub-and-spoke para obter conectividade de saída.

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

Azure Cloud Shell

O Azure hospeda o Azure Cloud Shell, um ambiente de shell interativo que você pode usar por meio do navegador. Você pode usar o Bash ou o PowerShell com o Cloud Shell para trabalhar com os serviços do Azure. Você pode usar os comandos pré-instalados do Cloud Shell para executar o código neste artigo, sem precisar instalar nada em seu ambiente local.

Para iniciar o Azure Cloud Shell:

Opção	Exemplo/Ligação
Selecione Experimentar no canto superior direito de um código ou bloco de comandos. Selecionar Experimentar não copia automaticamente o código ou comando para o Cloud Shell.
Vá para https://shell.azure.com, ou selecione o botão Iniciar o Cloud Shell para abrir o Cloud Shell no navegador.
Selecione o botão Cloud Shell na barra de menus no canto superior direito do portal do Azure.

Para usar o Azure Cloud Shell:

1. Inicie o Cloud Shell.

2. Selecione o botão Copiar em um bloco de código (ou bloco de comando) para copiar o código ou comando.

3. Cole o código ou comando na sessão do Cloud Shell selecionando Ctrl+Shift+V no Windows e Linux ou selecionando Cmd+Shift+V no macOS.

4. Selecione Enter para executar o código ou comando.

Se você optar por instalar e usar o PowerShell localmente, este artigo exigirá o módulo do Azure PowerShell versão 1.0.0 ou posterior. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se você precisar atualizar, consulte Instalar o módulo do Azure PowerShell. Se você estiver executando o PowerShell localmente, também precisará executar Connect-AzAccount para criar uma conexão com o Azure.

1. Inicie sessão no portal Azure.

2. Na caixa de pesquisa no topo do portal, introduza Grupo de Recursos. Selecione Grupos de recursos nos resultados da pesquisa.

3. Selecione + Criar.

4. No separador Basics de Criar um grupo de recursos, introduza ou selecione a seguinte informação.

   Configurações	Valor
   Subscrição	Selecione a sua subscrição
   Grupo de recursos	teste-rg
   Região	Oeste dos EUA

5. Selecione Verificar + criar.

6. Selecione Criar.

Crie um grupo de recursos com New-AzResourceGroup. Um grupo de recursos do Azure é um contêiner lógico no qual recursos do Azure são implantados e geridos.

O exemplo seguinte cria um grupo de recursos chamado test-rg na localização do Westus :

$rsg = @{
    Name = 'test-rg'
    Location = 'westus'
}
New-AzResourceGroup @rsg

1. Inicie sessão no portal Azure.

2. Na caixa de pesquisa na parte superior do portal do Azure, insira Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

3. Selecione Criar.

4. Insira ou selecione as seguintes informações na guia Noções básicas de Criar rede virtual.

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg ou o seu grupo de recursos.
   Detalhes da instância
   Nome	Digite vnet-hub.
   Região	Selecione a sua região. Este exemplo usa West US.

5. Selecione o separador Endereços IP ou selecione Próximo: Segurança, depois Próximo: Endereços IP.

6. Nas sub-redes seleciona a sub-rede por defeito .

7. Insira ou selecione as seguintes informações em Editar sub-rede.

   Configurações	Valor
   Finalidade da sub-rede	Deixe o padrão.
   Nome	Introduza subnet-1.

8. Deixa o resto das definições como padrão e depois seleciona Guardar.

9. Selecione + Adicionar uma sub-rede.

10. Em Adicionar uma sub-rede , introduza ou selecione a seguinte informação.

    Configurações	Valor
    Finalidade da sub-rede	Selecione Azure Bastion.

11. Deixa as restantes definições como predefinidas e depois seleciona Adicionar.

12. Selecione + Adicionar uma sub-rede.

13. Em Adicionar uma sub-rede , introduza ou selecione a seguinte informação.

    Configurações	Valor
    Finalidade da sub-rede	Selecione Azure Firewall.

14. Deixa as restantes definições como predefinidas e depois seleciona Adicionar.

15. Selecione Rever + criar e, em seguida, selecione Criar.

Use New-AzVirtualNetwork para criar a rede virtual do hub.

# Create hub virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-hub'
    AddressPrefix = '10.0.0.0/16'
}
$hubVnet = New-AzVirtualNetwork @vnetParams

Use Add-AzVirtualNetworkSubnetConfig para criar uma sub-rede para o Firewall do Azure e o Azure Bastion.

# Create default subnet
$subnetParams = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Firewall
$subnetParams = @{
    Name = 'AzureFirewallSubnet'
    AddressPrefix  = '10.0.1.64/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

# Create subnet for Azure Bastion
$subnetParams = @{
    Name = 'AzureBastionSubnet'
    AddressPrefix  = '10.0.1.0/26'
    VirtualNetwork = $hubVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Use Set-AzVirtualNetwork para atualizar a rede virtual.

# Create the virtual network
$hubVnet | Set-AzVirtualNetwork

1. Na caixa de pesquisa no topo do portal Azure, introduza Bastion. Selecione Bastions nos resultados de pesquisa.

2. Selecione Criar.

3. Introduza ou selecione a seguinte informação no separador Fundamentos de Criar um Bastião.

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg ou o seu grupo de recursos.
   Detalhes da instância
   Nome	Entre bastião.
   Região	Selecione a sua região. Este exemplo usa West US.
   Escalão de serviço	Selecione Desenvolvedor.
   Rede virtual	Selecione vnet-1.
   sub-rede	Selecione AzureBastionSubnet.

4. Selecione Rever + criar e, em seguida, selecione Criar.

Use New-AzPublicIpAddress para criar um IP público para o Azure Bastion.

# Create public IP for Azure Bastion
$publicIpBastionParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-bastion'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    Zone = 1, 2, 3
}
$publicIpBastion = New-AzPublicIpAddress @publicIpBastionParams

Use New-AzBastion para criar o Azure Bastion.

# Create Azure Bastion
$bastionParams = @{
    ResourceGroupName = "test-rg"
    Name = "bastion"
    VirtualNetworkName = "vnet-hub"
    PublicIpAddressName = "public-ip-bastion"
    PublicIPAddressRgName = "test-rg"
    VirtualNetworkRgName = "test-rg"
    Sku = "Basic"
}
New-AzBastion @bastionParams

1. Na caixa de pesquisa na parte superior do portal, digite Firewall. Selecione Firewalls nos resultados da pesquisa.

2. Selecione + Criar.

3. Na página Criar uma firewall, utilize a seguinte tabela para configurar a firewall:

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome	Digite firewall.
   Região	Selecione Oeste dos EUA.
   Zona de disponibilidade	Aceita o padrão Nenhum.
   Identificador de Produto do Firewall (SKU)	selecione Standard.
   Gestão de firewall	Selecione Usar uma política de firewall para gerenciar esse firewall.
   Política de firewall	Selecionar Adicionar novo. Nome: Introduzir a política de firewall. Região: Selecione Oeste dos EUA. Nível de política: Padrão. Seleciona OK.
   Escolha uma rede virtual
   Rede virtual	Selecione Usar existente.
   Rede virtual	Selecione vnet-hub.
   Endereço IP público
   Endereço IP público	Selecionar Adicionar novo. Nome: Introduza public-ip-firewall. SKU: Padrão. Tarefa: Estática. Zona de disponibilidade: Zona redundante. Selecione OK.

4. Aceite os outros valores padrão e selecione Revisar + criar.

5. Reveja o resumo e, em seguida, selecione Criar para criar a firewall.

   O firewall leva alguns minutos para ser implantado.

6. Depois de concluída a implementação, vá ao grupo de recursos test-rg e selecione o recurso firewall .

7. Observe os endereços IP públicos e privados do firewall. Você utilizará esses endereços depois.

Use New-AzPublicIpAddress para criar um IP público para o Firewall do Azure.

# Create public IP for Azure Firewall
$publicIpFirewallParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'public-ip-firewall'
    AllocationMethod  = 'Static'
    Sku = 'Standard'
    Zone = 1, 2, 3
}
$publicIpFirewall = New-AzPublicIpAddress @publicIpFirewallParams

Use New-AzFirewallPolicy para criar uma diretiva de firewall.

# Create firewall policy
$firewallPolicyParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'firewall-policy'
}
$firewallPolicy = New-AzFirewallPolicy @firewallPolicyParams

Use New-AzFirewall para criar o Firewall do Azure.

# Create Azure Firewall
    $firewallParams = @{
        ResourceGroupName = 'test-rg'
        Location = 'westus'
        Name = 'firewall'
        VirtualNetworkName = 'vnet-hub'
        PublicIpName = 'public-ip-firewall'
        FirewallPolicyId = $firewallPolicy.Id
    }
    $firewall = New-AzFirewall @firewallParams

1. Na caixa de pesquisa na parte superior do portal, introduza Endereço IP público. Selecione Endereços IP públicos nos resultados da pesquisa.

2. Selecione + Criar.

3. Insira as seguintes informações em Criar endereço IP público.

   Configurações	Valor
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Região	Selecione Oeste dos EUA.
   Nome	Introduza public-ip-nat.
   Versão do IP	Selecione IPv4.
   SKU	selecione Standard.
   Zona de disponibilidade	Selecione Zona redundante.
   Escalão de serviço	Selecione Regional.

4. Selecione Rever + criar e, em seguida, selecione Criar.

5. Na caixa de pesquisa na parte superior do portal, digite NAT gateway. Selecione NAT Gateways nos resultados da pesquisa.

6. Selecione + Criar.

7. Insira ou selecione as seguintes informações na guia Noções básicas de Criar gateway NAT (conversão de endereços de rede).

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome do gateway NAT	Digite nat-gateway.
   Região	Selecione Oeste dos EUA.
   SKU	selecione Standard.
   Tempo limite de inatividade TCP (minutos)	Deixe o padrão de 4.

8. Selecione Avançar.

9. No separador IP de saída , selecione + Adicionar endereços IP públicos ou prefixos.

10. Em Adicionar endereços IP públicos ou prefixos, selecione endereços IP públicos. Selecione o endereço IP público que criou anteriormente, public-ip-nat.

11. Selecione Avançar.

12. No separador Rede , em Rede Virtual, selecione vnet-hub.

13. Deixe a caixa de seleção para Default para todas as sub-redes desmarcada.

14. Em Selecionar subredes específicas, selecione AzureFirewallSubnet.

15. Selecione Rever + criar e, em seguida, selecione Criar.

Use New-AzPublicIpAddress para criar um endereço IP público IPv4 redundante para zona para o gateway NAT.

## Create public IP address for NAT gateway ##
$ip = @{
    Name = 'public-ip-nat'
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Sku = 'Standard'
    AllocationMethod = 'Static'
    IpAddressVersion = 'IPv4'
    Zone = 1,2,3
}
$publicIPIPv4 = New-AzPublicIpAddress @ip

Use New-AzNatGateway para criar o recurso de NAT gateway.

## Create NAT gateway resource ##
$nat = @{
    ResourceGroupName = 'test-rg'
    Name = 'nat-gateway'
    IdleTimeoutInMinutes = '4'
    Sku = 'Standard'
    Location = 'westus'
    PublicIpAddress = $publicIPIPv4
    Zone = 1
}
$natGateway = New-AzNatGateway @nat

Utilize Set-AzVirtualNetworkSubnetConfig para associar o gateway de NAT ao AzureFirewallSubnet.

# Get the hub virtual network
$vnetHub = Get-AzVirtualNetwork -ResourceGroupName 'test-rg' -Name 'vnet-hub'

# Associate NAT gateway with AzureFirewallSubnet
$subnetParams = @{
    VirtualNetwork = $vnetHub
    Name = 'AzureFirewallSubnet'
    AddressPrefix = '10.0.1.64/26'
    NatGateway = $natGateway
}
Set-AzVirtualNetworkSubnetConfig @subnetParams

# Update the virtual network
$vnetHub | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

2. Selecione + Criar.

3. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome	Introduza vnet-spoke.
   Região	Selecione Oeste dos EUA.

4. Selecione Avançar para prosseguir para a guia Segurança .

5. Selecione Avançar para prosseguir para a guia Endereços IP.

6. Na guia Endereços IP no espaço de endereçamento IPv4, selecione Excluir espaço de endereço para excluir o espaço de endereço preenchido automaticamente.

7. Selecione + Adicionar espaço de endereço IPv4.

8. Em Espaço de endereçamento IPv4, digite 10.1.0.0. Deixe a predefinição de /16 (65.536 endereços) na seleção de máscara.

9. Selecione + Adicionar uma sub-rede.

10. Em Adicionar uma sub-rede , insira ou selecione as seguintes informações:

    Configurações	Valor
    Finalidade da sub-rede	Deixe o padrão Default.
    Nome	Digite subnet-private.
    IPv4
    Intervalo de endereços IPv4	Deixe o padrão de 10.1.0.0/16.
    Endereço inicial	Deixe o padrão de 10.1.0.0.
    Tamanho	Deixe o padrão de /24(256 endereços).

11. Selecione Adicionar.

12. Selecione Verificar + criar.

13. Selecione Criar.

Use New-AzVirtualNetwork para criar a rede virtual de spoke.

# Create spoke virtual network
$vnetParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'vnet-spoke'
    AddressPrefix = '10.1.0.0/16'
}
$spokeVnet = New-AzVirtualNetwork @vnetParams

Use Add-AzVirtualNetworkSubnetConfig para criar uma sub-rede para a rede virtual falada.

# Create subnet in spoke virtual network
$subnetParams = @{
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    VirtualNetwork = $spokeVnet
}
Add-AzVirtualNetworkSubnetConfig @subnetParams

Use Set-AzVirtualNetwork para atualizar a rede virtual de satélite.

# Create the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal, digite Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

2. Selecione vnet-hub.

3. Selecione Peerings em Configurações.

4. Selecione + Adicionar.

5. Insira ou selecione as seguintes informações em Adicionar pareamento:

   Configurações	Valor
   Resumo da rede virtual remota
   Nome do link de peering	Digite vnet-spoke-to-vnet-hub.
   Modelo de implantação de rede virtual	Deixe o padrão do Gerenciador de recursos.
   Subscrição	Selecione a sua subscrição.
   Rede virtual	Selecione vnet-spoke (test-rg).
   Configurações de interconexão de rede virtual remota
   Permitir que 'vnet-spoke' acesse 'vnet-hub'	Deixe o padrão de Selecionado.
   Permitir que 'vnet-spoke' receba tráfego encaminhado de 'vnet-hub'	Marque a caixa de seleção.
   Permitir que o gateway ou o servidor de rota em 'vnet-spoke' encaminhe o tráfego para 'vnet-hub'	Deixe o padrão de Não selecionado.
   Habilite o 'vnet-spoke' para usar o gateway remoto ou o servidor de rotas do 'vnet-hub'	Deixe o padrão de Não selecionado.
   Resumo da rede virtual local
   Nome do link de peering	Digite vnet-hub-to-vnet-spoke.
   Configurações de emparelhamento de rede virtual local
   Permitir que 'vnet-hub' acesse 'vnet-spoke'	Deixe o padrão de Selecionado.
   Permitir que 'vnet-hub' receba tráfego encaminhado de 'vnet-spoke'	Marque a caixa de seleção.
   Permitir que o gateway ou o servidor de rota em 'vnet-hub' encaminhe o tráfego para 'vnet-spoke'	Deixe o padrão de Não selecionado.
   Permitir que o 'vnet-hub' utilize o gateway remoto ou o servidor de rota do 'vnet-spoke'	Deixe o padrão de Não selecionado.

6. Selecione Adicionar.

7. Selecione Atualizar e verifique se o estado de emparelhamento está Conectado.

Use Add-AzVirtualNetworkPeering para criar um emparelhamento do hub para o spoke.

# Create peering from hub to spoke
$peeringParams = @{
    Name = 'vnet-hub-to-vnet-spoke'
    VirtualNetwork = $hubVnet
    RemoteVirtualNetworkId = $spokeVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

Use Add-AzVirtualNetworkPeering para criar um emparelhamento do spoke para o hub.

# Create peering from spoke to hub
$peeringParams = @{
    Name = 'vnet-spoke-to-vnet-hub'
    VirtualNetwork = $spokeVnet
    RemoteVirtualNetworkId = $hubVnet.Id
    AllowForwardedTraffic = $true
}
Add-AzVirtualNetworkPeering @peeringParams

1. Na caixa de pesquisa na parte superior do portal, digite Firewall. Selecione Firewalls nos resultados da pesquisa.

2. Selecione firewall.

3. Na Visão geral do firewall, observe o endereço IP no campo IP privado do firewall. O endereço IP neste exemplo é 10.0.1.68.

Use Get-AzFirewall para obter o endereço IP privado do firewall.

# Get the private IP address of the firewall
$firewallParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'firewall'
}
$firewall = Get-AzFirewall @firewallParams
$firewall.IpConfigurations[0].PrivateIpAddress

1. Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.

2. Selecione + Criar.

3. Em Criar tabela de rotas , insira ou selecione as seguintes informações:

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Região	Selecione Oeste dos EUA.
   Nome	Digite route-table-spoke.
   Propagar rotas de gateway	Selecione Não.

4. Selecione Verificar + criar.

5. Selecione Criar.

6. Na caixa de pesquisa na parte superior do portal, digite Tabela de rotas. Selecione Tabelas de rotas nos resultados da pesquisa.

7. Selecione route-table-spoke.

8. Em Configurações, selecione Rotas.

9. Selecione + Adicionar em rotas.

10. Insira ou selecione as seguintes informações em Adicionar rota:

    Configurações	Valor
    Nome da rota	Insira route-to-hub.
    Tipo de destino	Selecione IP Addresses.
    Endereços IP de destino/intervalos CIDR	Digite 0.0.0.0/0.
    Tipo de transição seguinte	Selecione Aplicação virtual.
    Endereço para o próximo salto	Digite 10.0.1.68.

11. Selecione Adicionar.

12. Selecione Sub-redes em Configurações.

13. Selecione + Associado.

14. Insira ou selecione as seguintes informações em Associar sub-rede:

    Configurações	Valor
    Rede virtual	Selecione vnet-spoke (test-rg).
    sub-rede	Selecione subnet-private.

15. Selecione OK.

Use New-AzRouteTable para criar a tabela de rotas.

# Create route table
$routeTableParams = @{
    ResourceGroupName = 'test-rg'
    Location = 'westus'
    Name = 'route-table-spoke'
}
$routeTable = New-AzRouteTable @routeTableParams

Use Add-AzRouteConfig para criar uma rota na tabela de rotas.

# Create route
$routeConfigParams = @{
    Name = 'route-to-hub'
    AddressPrefix = '0.0.0.0/0'
    NextHopType = 'VirtualAppliance'
    NextHopIpAddress = $firewall.IpConfigurations[0].PrivateIpAddress
    RouteTable = $routeTable
}
Add-AzRouteConfig @routeConfigParams

Use Set-AzRouteTable para atualizar a tabela de rotas.

# Update the route table
$routeTable | Set-AzRouteTable

Utilize Set-AzVirtualNetworkSubnetConfig para associar a tabela de rotas à sub-rede satélite.

# Associate route table with subnet
$subnetConfigParams = @{
    VirtualNetwork = $spokeVnet
    Name = 'subnet-private'
    AddressPrefix = '10.1.0.0/24'
    RouteTable = $routeTable
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

Use Set-AzVirtualNetwork para atualizar a rede virtual de satélite.

# Update the virtual network
$spokeVnet | Set-AzVirtualNetwork

1. Na caixa de pesquisa na parte superior do portal, digite Firewall. Selecione Políticas de firewall nos resultados da pesquisa.

2. Selecione firewall-policy.

3. Expanda Configurações e selecione Regras de rede.

4. Selecione + Adicionar uma coleção de regras.

5. Em Adicionar uma coleção de regras , insira ou selecione as seguintes informações:

   Configurações	Valor
   Nome	Digite spoke-to-internet.
   Tipo de coleção de regras	Selecione Rede.
   Prioridade	Introduza 100.
   Ação de coleta de regras	Selecione Permitir.
   Grupo de recolha de regras	Selecione DefaultNetworkRuleCollectionGroup.
   Regras
   Nome	Digite allow-web.
   Tipo de fonte	Endereço IP.
   Fonte	Digite 10.1.0.0/24.
   Protocolo	Selecione TCP.
   Portos de destino	Digite 80,443.
   Tipo de destino	Selecione Endereço IP.
   Destino	Digite *

6. Selecione Adicionar.

Use Get-AzFirewallPolicy para obter a diretiva de firewall existente.

# Get the existing firewall policy
$firewallPolicyParams = @{
    Name = 'firewall-policy'
    ResourceGroupName = 'test-rg'
}
$firewallPolicy = Get-AzFirewallPolicy @firewallPolicyParams

Use New-AzFirewallPolicyNetworkRule para criar uma regra de rede.

# Create a network rule for web traffic
$networkRuleParams = @{
    Name = 'allow-internet'
    SourceAddress = '10.1.0.0/24'
    Protocol = 'TCP'
    DestinationAddress = '*'
    DestinationPort = '*'
}
$networkRule = New-AzFirewallPolicyNetworkRule @networkRuleParams

Use New-AzFirewallPolicyFilterRuleCollection para criar uma coleção de regras para a regra de rede.

# Create a rule collection for the network rule
$ruleCollectionParams = @{
    Name = 'spoke-to-internet'
    Priority = 100
    Rule = $networkRule
    ActionType = 'Allow'
}
$ruleCollection = New-AzFirewallPolicyFilterRuleCollection @ruleCollectionParams

Use New-AzFirewallPolicyRuleCollectionGroup para criar um grupo de coleta de regras.

$newRuleCollectionGroupParams = @{
        Name = 'DefaultNetworkRuleCollectionGroup'
        Priority = 200
        FirewallPolicyObject = $firewallPolicy
        RuleCollection = $ruleCollection
    }
New-AzFirewallPolicyRuleCollectionGroup @newRuleCollectionGroupParams

1. No portal, procure e selecione Máquinas virtuais.

2. Em Máquinas virtuais, selecione + Criar e, em seguida , Máquina virtual do Azure.

3. Na guia Noções básicas de Criar uma máquina virtual, insira ou selecione as seguintes informações:

   Configurações	Valor
   Detalhes do projeto
   Subscrição	Selecione a sua subscrição.
   Grupo de recursos	Selecione test-rg.
   Detalhes da instância
   Nome da máquina virtual	Insira vm-spoke.
   Região	Selecione Oeste dos EUA.
   Opções de disponibilidade	Selecione Sem necessidade de redundância de infraestrutura.
   Tipo de segurança	Deixe o valor predefinido de Padrão.
   Imagem	Selecione Ubuntu Server 24.04 LTS - x64 Gen2.
   Arquitetura VM	Deixe o padrão de x64.
   Tamanho	Selecione um tamanho.
   Conta de administrador
   Tipo de autenticação	Selecione a chave pública SSH.
   Nome de utilizador	Insira azureuser.
   Origem da chave pública SSH	Selecione Gerar novo par de chaves.
   Nome do par de chaves	Insira vm-spoke-key.
   Regras de porta de entrada
   Portas de entrada públicas	Selecione Nenhum.

4. Selecione a guia Rede na parte superior da página ou selecione Avançar:Discos e, em seguida, Avançar:Rede.

5. Insira ou selecione as seguintes informações no separador Rede:

   Configurações	Valor
   Interface de Rede
   Rede virtual	Selecione vnet-spoke.
   sub-rede	Selecione subnet-private (10.1.0.0/24).
   IP público	Selecione Nenhum.
   Grupo de segurança de rede NIC	Selecione Avançado.
   Configurar grupo de segurança de rede	Selecione Criar novo. Digite nsg-1 para o nome. Deixe o restante nos padrões e selecione OK.

6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

7. Revise as configurações e selecione Criar.

8. A caixa de diálogo Gerar novo par de chaves é exibida. Selecione Descarregar chave privada e criar recurso.

A chave privada é descarregada para a sua máquina local. A chave privada é necessária em etapas posteriores para se conectar à máquina virtual com o Azure Bastion. O nome do arquivo de chave privada é o nome que você inseriu no campo Nome do par de chaves . Neste exemplo, o arquivo de chave privada é chamado ssh-key.

Aguarde até que a máquina virtual termine a implantação antes de prosseguir para as próximas etapas.

Use New-AzNetworkSecurityGroup para criar o grupo de segurança de rede.

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Name = "nsg-1"
    Location = "westus"
}
New-AzNetworkSecurityGroup @nsgParams

Use New-AzNetworkInterface para criar a interface de rede.

$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    SubnetId = (Get-AzVirtualNetwork -ResourceGroupName "test-rg" -Name "vnet-spoke").Subnets[0].Id
    NetworkSecurityGroupId = (Get-AzNetworkSecurityGroup -ResourceGroupName "test-rg" -Name "nsg-1").Id
    Location = "westus"
}
New-AzNetworkInterface @nicParams

Use Get-Credential para definir um nome de usuário e senha para a VM e armazená-los na $cred variável.

$cred = Get-Credential

Use New-AzVMConfig para definir uma VM.

$vmConfigParams = @{
    VMName = "vm-spoke"
    VMSize = "Standard_DS4_v2"
    }
$vmConfig = New-AzVMConfig @vmConfigParams

Use Set-AzVMOperatingSystem e Set-AzVMSourceImage para criar o restante da configuração da VM. O exemplo a seguir cria uma máquina virtual do Ubuntu Server:

$osParams = @{
    VM = $vmConfig
    ComputerName = "vm-spoke"
    Credential = $cred
    }
$vmConfig = Set-AzVMOperatingSystem @osParams -Linux -DisablePasswordAuthentication

$imageParams = @{
    VM = $vmConfig
    PublisherName = "Canonical"
    Offer = "ubuntu-24_04-lts"
    Skus = "server"
    Version = "latest"
    }
$vmConfig = Set-AzVMSourceImage @imageParams

Use Add-AzVMNetworkInterface para anexar a NIC que você criou anteriormente à VM.

# Get the network interface object
$nicParams = @{
    ResourceGroupName = "test-rg"
    Name = "nic-1"
    }
$nic = Get-AzNetworkInterface @nicParams

$vmConfigParams = @{
    VM = $vmConfig
    Id = $nic.Id
    }
$vmConfig = Add-AzVMNetworkInterface @vmConfigParams

Use New-AzVM para criar a VM. O comando gera chaves SSH para a máquina virtual para entrar. Anote a localização da chave privada. A chave privada é necessária em etapas posteriores para se conectar à máquina virtual com o Azure Bastion.

$vmParams = @{
    VM = $vmConfig
    ResourceGroupName = "test-rg"
    Location = "westus"
    SshKeyName = "vm-spoke-key"
    }
New-AzVM @vmParams -GenerateSshKey

1. Na caixa de pesquisa na parte superior do portal, introduza IP Público. Selecione Endereços IP públicos nos resultados da pesquisa.

2. Selecione public-ip-nat.

3. Anote o valor no endereço IP. O exemplo usado neste artigo é 203.0.113.0.25.

Use Get-AzPublicIpAddress para obter o endereço IP público do gateway NAT.

# Get the public IP address of the NAT gateway
$publicIpNatParams = @{
    ResourceGroupName = 'test-rg'
    Name = 'public-ip-nat'
}
$publicIpNat = Get-AzPublicIpAddress @publicIpNatParams
$publicIpNat.IpAddress

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

1. No portal do Azure, procure e selecione Grupos de recursos.

2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

3. Na página test-rg, selecione Excluir grupo de recursos.

4. Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Use Remove-AzResourceGroup para remover o grupo de recursos.

# Remove resource group
$rgParams = @{
    Name = 'test-rg'
}
Remove-AzResourceGroup @rgParams